Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
- Graph databases like Neo4j use a graph structure with nodes and relationships to represent data. Nodes can represent entities and relationships can represent connections between nodes.
- The example database models movies, people, and their relationships. Movies and people are represented as nodes with labels. Relationships like "ACTED_IN" connect actors to movies they appeared in.
- Cypher is the query language used to interact with Neo4j. Queries can read and modify data, traverse paths in the graph, and use filters to find specific nodes/relationships.
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-windows-server-2016-maitrisez-les-nouveautes
Windows Server 2016 est sorti début Octobre 2016 et apporte beaucoup de nouveautés. Ainsi Hyper-V, Failover Clustering, la couche stockage et réseaux ont été grandement amélioré. Windows Server 2016 apporte aussi un nouveau modèle de déploiement appelé Nano Server.
Toutes ces nouveautés sont présentées dans cette formation. La majorité des nouveautés est présentée au travers de démonstration.
Cette formation vous permettra d’appréhender les nouveautés de Windows Server 2016 afin de les déployer dans votre propre infrastructure.
alphorm.com - Formation Linux LPIC-1/Comptia Linux+Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-linux-lpic-1-comptia-linuxplus
Le Linux Professionnal Institute (LPI) a été créé en vue d’apporter un processus reconnu, identifiant et certifiant le talent et les compétences des utilisateurs GNU/Linux partout dans le monde.
La LPIC est aujourd’hui la certification la plus demandée dans le monde de l’Open Source. Indépendante de toute distribution Linux, la certification LPI est devenue dans la pratique une certification incontournable pour qui veut évaluer ses compétences dans l’administration Linux.
L'expert de l’Open Source Noël Macé vous accompagne durant cette première formation afin d’acquérir votre LPIC-1. La LPIC-1 vous permet d'acquérir et maîtriser les bases de l’administration système sous GNU/Linux.
Cette même formation vous permettra également de valider les connaissances exigées par la certification Comptia Linux+ et ainsi la réussir.
Les principales failles de sécurité des applications Web actuellesXavier Kress
Les principales failles de sécurité des applications Web actuelles telles que recensées par l'OWASP. Principes, parades et bonnes pratiques de développement.
Ce document, élaboré dans le cadre d'une présentation faite au CNAM, traite de l’importance de la sécurité applicative (les applications Web sont devenues omniprésentes, objectifs et conséquences d’une attaque, les hackers et les kits d’attaque, l'OWASP et les kits de défense), des principales failles de sécurité applicatives (principe et exemples de fonctionnement, objectifs / conséquences, parades) et des bonnes pratiques permettant de sécuriser un parc applicatif (sensibiliser les développeurs, effectuer des tests d’intrusion et de la revue de code, intégrer la sécurité dans la gestion de projets)
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
- Graph databases like Neo4j use a graph structure with nodes and relationships to represent data. Nodes can represent entities and relationships can represent connections between nodes.
- The example database models movies, people, and their relationships. Movies and people are represented as nodes with labels. Relationships like "ACTED_IN" connect actors to movies they appeared in.
- Cypher is the query language used to interact with Neo4j. Queries can read and modify data, traverse paths in the graph, and use filters to find specific nodes/relationships.
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-windows-server-2016-maitrisez-les-nouveautes
Windows Server 2016 est sorti début Octobre 2016 et apporte beaucoup de nouveautés. Ainsi Hyper-V, Failover Clustering, la couche stockage et réseaux ont été grandement amélioré. Windows Server 2016 apporte aussi un nouveau modèle de déploiement appelé Nano Server.
Toutes ces nouveautés sont présentées dans cette formation. La majorité des nouveautés est présentée au travers de démonstration.
Cette formation vous permettra d’appréhender les nouveautés de Windows Server 2016 afin de les déployer dans votre propre infrastructure.
alphorm.com - Formation Linux LPIC-1/Comptia Linux+Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-linux-lpic-1-comptia-linuxplus
Le Linux Professionnal Institute (LPI) a été créé en vue d’apporter un processus reconnu, identifiant et certifiant le talent et les compétences des utilisateurs GNU/Linux partout dans le monde.
La LPIC est aujourd’hui la certification la plus demandée dans le monde de l’Open Source. Indépendante de toute distribution Linux, la certification LPI est devenue dans la pratique une certification incontournable pour qui veut évaluer ses compétences dans l’administration Linux.
L'expert de l’Open Source Noël Macé vous accompagne durant cette première formation afin d’acquérir votre LPIC-1. La LPIC-1 vous permet d'acquérir et maîtriser les bases de l’administration système sous GNU/Linux.
Cette même formation vous permettra également de valider les connaissances exigées par la certification Comptia Linux+ et ainsi la réussir.
This document discusses big data concepts and patterns. It covers topics like data mining, data visualization, data analytics, open data, data science, cloud computing, mobile technologies, and the internet of things as they relate to big data. It also discusses data issues around volume, velocity, and variety of data as well as infrastructure needs. Additionally, it covers big data principles, scalability, fault tolerance, availability, flexibility, and research domains in big data including optimization, data science, design, security, relationships to other trends, and applications in various business fields.
This document discusses the topic of security misconfiguration. It begins by defining security misconfiguration as when system administrators, database administrators (DBAs), and developers leave security holes in the configuration of computer systems. It then provides examples of how misconfiguration can occur at different levels of an application stack, such as the platform, web server, and custom code. The document also describes how attackers exploit known misconfigurations and provides recommendations for securing systems, such as changing default passwords, deleting unused accounts and services, keeping software updated, and more.
Alexei Vladishev - Zabbix - Monitoring Solution for EveryoneZabbix
Zabbix is an open source monitoring solution that can monitor all levels of infrastructure across various platforms. It uses triggers to define problems and collects data through active and passive agents to analyze metrics and detect issues. When problems occur, Zabbix can automatically react through escalation procedures that include notifications, tickets, and restarts. It is highly scalable and offers features like anomaly detection, forecasting, and event correlation for complex environments.
London In-Memory Computing Meetup - A Change-Data-Capture use-case: designing...Nicolas Fränkel
When one’s app is challenged with poor performances, it’s easy to set up a cache in front of one’s SQL database. It doesn’t fix the root cause (e.g. bad schema design, bad SQL query, etc.) but it gets the job done. If the app is the only component that writes to the underlying database, it’s a no-brainer to update the cache accordingly, so the cache is always up-to-date with the data in the database.
Things start to go sour when the app is not the only component writing to the DB. Among other sources of writes, there are batches, other apps (shared databases exist, unfortunately), etc. One might think about a couple of ways to keep data in sync i.e. polling the DB every now and then, DB triggers, etc. Unfortunately, they all have issues that make them unreliable and/or fragile.
In this talk, I will describe an easy-to-setup architecture that leverages CDC to have an evergreen cache.
This document discusses virtualization concepts and provides guidance on installing and configuring Hyper-V on Windows Server 2016. It covers determining hardware compatibility, installing Hyper-V and management tools, configuring virtual networks and disks, and setting Hyper-V options such as live migration and NUMA spanning. Requirements for CPU, memory, and disk space are specified. Steps are provided to enable optional Hyper-V features and install supporting tools using Windows PowerShell.
Au cours de cette formation, vous apprendrez à utiliser les technologies avancées de mise en réseau de de sécurité Fortigate.
Les rubriques incluent des fonctionnalités couramment utilisées dans les réseaux d’entreprise ou MSSP complexes ou plus grands, telle que le routage avancé, le mode transparent, l’infrastructure redondante, le VPN IPsec de site à site, la connexion unique, le proxy web et les diagnostics
Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
This document discusses big data concepts and patterns. It covers topics like data mining, data visualization, data analytics, open data, data science, cloud computing, mobile technologies, and the internet of things as they relate to big data. It also discusses data issues around volume, velocity, and variety of data as well as infrastructure needs. Additionally, it covers big data principles, scalability, fault tolerance, availability, flexibility, and research domains in big data including optimization, data science, design, security, relationships to other trends, and applications in various business fields.
This document discusses the topic of security misconfiguration. It begins by defining security misconfiguration as when system administrators, database administrators (DBAs), and developers leave security holes in the configuration of computer systems. It then provides examples of how misconfiguration can occur at different levels of an application stack, such as the platform, web server, and custom code. The document also describes how attackers exploit known misconfigurations and provides recommendations for securing systems, such as changing default passwords, deleting unused accounts and services, keeping software updated, and more.
Alexei Vladishev - Zabbix - Monitoring Solution for EveryoneZabbix
Zabbix is an open source monitoring solution that can monitor all levels of infrastructure across various platforms. It uses triggers to define problems and collects data through active and passive agents to analyze metrics and detect issues. When problems occur, Zabbix can automatically react through escalation procedures that include notifications, tickets, and restarts. It is highly scalable and offers features like anomaly detection, forecasting, and event correlation for complex environments.
London In-Memory Computing Meetup - A Change-Data-Capture use-case: designing...Nicolas Fränkel
When one’s app is challenged with poor performances, it’s easy to set up a cache in front of one’s SQL database. It doesn’t fix the root cause (e.g. bad schema design, bad SQL query, etc.) but it gets the job done. If the app is the only component that writes to the underlying database, it’s a no-brainer to update the cache accordingly, so the cache is always up-to-date with the data in the database.
Things start to go sour when the app is not the only component writing to the DB. Among other sources of writes, there are batches, other apps (shared databases exist, unfortunately), etc. One might think about a couple of ways to keep data in sync i.e. polling the DB every now and then, DB triggers, etc. Unfortunately, they all have issues that make them unreliable and/or fragile.
In this talk, I will describe an easy-to-setup architecture that leverages CDC to have an evergreen cache.
This document discusses virtualization concepts and provides guidance on installing and configuring Hyper-V on Windows Server 2016. It covers determining hardware compatibility, installing Hyper-V and management tools, configuring virtual networks and disks, and setting Hyper-V options such as live migration and NUMA spanning. Requirements for CPU, memory, and disk space are specified. Steps are provided to enable optional Hyper-V features and install supporting tools using Windows PowerShell.
Au cours de cette formation, vous apprendrez à utiliser les technologies avancées de mise en réseau de de sécurité Fortigate.
Les rubriques incluent des fonctionnalités couramment utilisées dans les réseaux d’entreprise ou MSSP complexes ou plus grands, telle que le routage avancé, le mode transparent, l’infrastructure redondante, le VPN IPsec de site à site, la connexion unique, le proxy web et les diagnostics
Formations sécurité informatique
Certifications sécurité informatique
AKAOMA Consulting vous propose différents cursus et cours de formation en sécurité informatique selon vos besoins. Consultez notre liste, accédez à des descriptions détaillées sur notre site internet.
Bonne formation! ;-)
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution
maintenant éprouvée depuis longtemps pour répondre à ce besoin.
Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentationDerrick Hunter
This document discusses the risks of using known vulnerable components in applications. It identifies threat agents as anyone who can send untrusted data, and lists possible attack vectors such as injection and broken access control. Examples are given of past vulnerabilities in Apache CXF and Spring that allowed remote code execution. It emphasizes that open source applications often contain vulnerable components that remain in use long after issues are discovered. Suggested prevention methods include keeping components up to date, monitoring for security issues, and adding security wrappers.
Managing Security in External Software Dependenciesthariyarox
This is the slides of the presentation done in "WSO2 Jaffna: Integrating Security Into Software Development Life Cycle" event. http://www.meetup.com/wso2srilanka/events/233915649/
Este documento anuncia uma palestra sobre o metabolismo do RNA mensageiro, seu controle de qualidade e relevância para doenças genéticas e câncer. A palestra será realizada pela Dra. Luísa Romão no dia 27 de janeiro de 2012 na Biblioteca EB 2,3 Acácio de Azevedo em Oliveira do Bairro, Portugal.
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...TelecomValley
SophiaConf 2010 Conférence du 30 Juin 2010 à Polytech'Nice Sophia sur la Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong et trois retours d'expériences : Maitre Pascal Agosti, Cabinet Caprioli&Associés; Frédéric AIME, Chief Technical Officer de JANUA; Florent Peyraud, CEO et fondateur de TRYPHON
Guide de mise en oeuvre d'une authentification forte avec une cpsBee_Ware
Destiné plus spécifiquement aux chefs de projets et aux architectes techniques et applicatifs, ce guide présente la mise en œuvre d’une authentification forte avec une carte CPS (Carte de Professionnels de Santé).
This document discusses taking an agile approach to continuous security. It covers recent high profile attacks, surveying tools that can check for vulnerable components and exposed secrets. The goal is to automate security checks by integrating tools into the development pipeline to test for vulnerabilities during regular builds and prevent secrets from being committed to version control. This would help catch issues early and increase security through continuous and automated testing.
Hiding in Plain Sight: The Danger of Known VulnerabilitiesImperva
While a lot of attention is devoted to the mitigation of previously unknown attack methods ("0 days"), many of today's high-profile breaches are caused by "Known Vulnerabilities" in the application's components, also referred to as "vulnerabilities in third-party components." Attackers are quickly moving to exploit applications built with vulnerable components and are inflicting serious data loss and/or hijacking entire servers in the process. The rising popularity of third-party components in application development enables attackers to quickly and repeatedly locate and exploit vulnerabilities in application components - making these attacks widespread and extremely hazardous. This presentation will: (1) explore the recent growth of "Known Vulnerabilities" and examine the scope of the problem (2) examine how attackers are able to quickly "weaponize" these vulnerabilities for immediate profit (3) reveal techniques for limiting the damage resulting from "Known Vulnerabilities" exploitation.
Live 2014 Survey Results: Open Source Development and Application Security Su...Sonatype
The survey saw its highest participation yet with 3,353 respondents. It was conducted between April 1st and April 30th, with 1,513 responses before the announcement of the Heartbleed bug on April 7th, and 1,839 after. The results revealed that most organizations are not well prepared for vulnerabilities like Heartbleed, as the majority do not have strong open source policies, do not actively monitor components for vulnerabilities, and do not track components in production applications. However, there are signs the industry may be reaching an "inflection point" and increasing focus on application security and governance of open source components.
Abusing, Exploiting and Pwning with Firefox Add-ons: OWASP Appsec 2013 Presen...Ajin Abraham
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
[Poland] SecOps live cooking with OWASP appsec toolsOWASP EEE
This document outlines the agenda and demos for a presentation on securing the software delivery pipeline using open source security tools. The presentation covers setting up a continuous delivery pipeline using tools like Ansible, Jenkins and Docker to automate security testing with OWASP tools like ZAP and Dependency Check. It includes demos of manual testing with these tools, integrating them into a delivery pipeline using automation, and approaches like containerization to improve the speed and feedback loop of security testing. The overall goal is to discuss how to shorten software development cycles while maintaining security by automating testing within the delivery pipeline.
An Instagram researcher hacked the Instagram server and accessed employee credentials. Juniper firewalls contained an unauthorized code backdoor since 2012. A 19-year-old hacked an airline's website and stole $150,000 by selling fake tickets. 13 million MacKeeper users had their data exposed in an unsecured database. Anonymous declared war on Donald Trump by DDoSing his websites. A Linux vulnerability allowed hacking by pressing backspace 28 times to exploit the Grub2 bootloader.
Durcissement de code - Pourquoi durcir son code ? Quand le faire ? Comment s’y prendre ?
Cyrille Grandval & Maxence Perrin répondent à ces problématiques que se posent de nombreux acteurs du Web lors de la conférence d'ouverture de la 1ère édition du WebDay ESGI.
Présentation de l'organisation OWASP + Explication des failles + des applications + web et démonstration + piratatage + sécurisation des applications + avec + Webgoat + l'application vulnérable des tests de + l'organisation OWASP
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'entreprise.
L'effectuation est une approche entrepreneuriale innovante qui met l'accent sur les moyens et les ressources disponibles plutôt que sur les objectifs prédéfinis. Elle accorde une grande importance à l'apprentissage par l'expérience et à l'implication du réseau dans le développement de l'e
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Les francais et la protection des données personnellesBee_Ware
Cette enquête de l’institut CSA fournit un état des lieux des préoccupations liées à la protection des données personnelles en France. Réalisée auprès de plus de 1000 personnes, cette étude met en évidence la prise de conscience des français face aux risques d’usurpation d’identité ou de vol de données sensibles.
This document summarizes DDoS threat trends from 2013 to early 2014 based on attacks seen by Incapsula. Key findings include:
- 81% of network attacks in the last 90 days used multiple vectors simultaneously, with over a third employing 3 or more vectors. This multi-vector approach allows attackers to bypass defenses.
- Large SYN floods combined with regular SYN floods ("SYN combo attacks") accounted for around 75% of large-scale network attacks above 20Gbps.
- NTP amplification attacks increased significantly in early 2014 and became the most common vector for large attacks in February 2014.
- Application layer attacks increased 240% from 2013, with over half originating from India, China, and Iran
Top ten big data security and privacy challengesBee_Ware
The document discusses the top 10 security and privacy challenges of big data. It begins by explaining how big data has expanded through streaming cloud technology, rendering traditional security mechanisms inadequate. It then outlines a 3-step process used to identify the top 10 challenges: 1) interviewing CSA members and reviewing trade journals to draft an initial list, 2) studying published solutions, and 3) characterizing remaining problems as challenges if solutions did not adequately address problem scenarios. The top 10 challenges are then grouped into 4 aspects: infrastructure security, data privacy, data management, and integrity and reactive security. The first challenge discussed in detail is securing computations in distributed programming frameworks.
This report provides an overview of global compliance with the Payment Card Industry Data Security Standard (PCI DSS) based on hundreds of assessments conducted between 2011-2013. The key findings are that only around 11% of companies assessed were fully compliant with all 12 PCI DSS requirements, and the report identifies areas where organizations commonly struggle with compliance. It recommends that organizations view PCI compliance as an ongoing process that requires executive sponsorship and should be part of wider governance, risk, and compliance efforts.
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Bee_Ware
Réalisée par Steria, cette étude présente les nouvelles attaques informatiques et leur impact en termes business, financier et d’atteinte à la réputation.
Maitriser la ssi pour les systèmes industrielsBee_Ware
Ce document présente les enjeux sécuritaires liés aux systèmes informatiques industriels. Découvrez les mythes, vulnérabilités et impacts potentiels ainsi qu’une check list de bonnes pratiques à suivre.
1) The document discusses a European consumer survey on attitudes toward biometric technology, which authenticates people using physical characteristics like fingerprints, face, iris, and veins. 2) The majority of citizens across European countries support using biometrics to identify criminals and authenticate identity cards/passports. 3) However, fewer than half of European citizens favor replacing bank PIN numbers with biometrics due to privacy concerns over this highly innovative technology.
This document summarizes the findings of a study on managing complexity in identity and access management (IAM) conducted by Ponemon Institute. Some key findings:
1) Most organizations find their IAM processes overly complex and difficult to manage, with over 300 information resources and 1200 access requests per month on average.
2) Respondents believe access changes are not fulfilled in a timely manner, access requests are not always verified against policies, and IAM policies are not strictly enforced.
3) The costs of IAM failures are estimated at $105 million annually on average due to lost productivity, revenue, and technical support costs.
4) Growth of unstructured data, mobile devices, regulations,
The document provides 8 predictions for cybersecurity threats in 2014:
1) Advanced malware volume will decrease but attacks will become more targeted and stealthy.
2) A major data-destruction attack such as ransomware will successfully target organizations.
3) Attackers will increasingly target cloud data rather than enterprise networks.
4) Exploit kits like Redkit and Neutrino will struggle for dominance following the arrest of the Blackhole exploit kit author.
5) Java vulnerabilities will remain highly exploitable and exploited with expanded consequences.
6) Attackers will use professional social networks like LinkedIn to target executives and organizations.
7) Cybercriminals will target weaker links in organizations
Ce rapport produit par WhiteHat en mai 2013 offre une vision pertinente des menaces web et des paramètres à prendre en compte pour assurer sécurité et disponibilité.
The 2013 Cost of Data Breach Study: France found that the average cost of a data breach in France increased from €122 per lost or stolen record in 2011 to €127 per record in 2012. The total average organizational cost of a data breach also rose over this period, from €2.55 million to €2.86 million. Malicious attacks were the most common cause of breaches, accounting for 42% of cases. Lost business costs, which include customer churn, increased sharply from €0.78 million in 2011 to €1.19 million in 2012. Certain organizational factors like having an incident response plan in place were found to lower the costs of a breach.
2013 cost of data breach study - Global analysisBee_Ware
This document provides an executive summary of the 2013 Cost of Data Breach Study: Global Analysis report conducted by Ponemon Institute and sponsored by Symantec. The study analyzed the costs of data breaches for 277 organizations across 9 countries. Some key findings include: the average global cost of a data breach was $136 per record but costs varied significantly by country; the US and Germany had the costliest breaches at $188 and $199 per record respectively; malicious attacks were the most expensive type of breach; and factors like security measures, response plans, and notification speed impacted breach costs.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Les principales failles de sécurité des applications web actuelles
1. Les principales failles de sécurité
des applications web actuelles
telles que recensées par l ’OWASP
Xavier KRESS
08 Juillet 2013
Principes, parades
& bonnes pratiques de développement
2. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Les applications Web sont devenues omniprésentes
• Objectifs et conséquences d’une attaque
• Les hackers et les kits d’attaque
• L’OWASP et les kits de défense
- Les principales failles de sécurité applicatives
• Principe et exemples de fonctionnement
• Objectifs / Conséquences
• Parades
- Comment sécuriser son parc applicatif
• Sensibiliser les développeurs
• Effectuer des tests d’intrusion et de la revue de code
• Intégrer la sécurité dans la gestion de projets
2/22
Xavier KRESS - 08/07/2013
3. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Les applications Web sont devenues omniprésentes
Environ 40% de la
population mondiale
70% dans les pays
développés
80% en France soit
plus de 50 millions
d’internautes
Pourcentage d’Internautes dans le monde, source: International Telecommunications Union.
3/22
Xavier KRESS - 08/07/2013
4. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Les applications Web sont devenues omniprésentes
Une multitude d’applications
Dans tous les domaines
Des usages différents, en
entreprise, à domicile ou en
mobilité
L’intégralité des données
personnelles et de
l’entreprise est accessible au
travers des applications Web
4/22
Xavier KRESS - 08/07/2013
5. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Objectifs et conséquences d’une attaque
o
o
o
o
o
Vol d’informations
Usurpation d’identité
Indisponibilité de service
Défiguration de site
Désinformation
5/22
Xavier KRESS - 08/07/2013
6. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Objectifs et conséquences d’une attaque
Avril 2011 : accès et publication sur Internet des informations de 77 millions
de comptes du Playstation Network
Juin 2011 : plusieurs centaines de comptes Gmail de hauts fonctionnaires et
militaires américains piratés
Juin 2012 6.5 millions de mots de passe LinkedIn volés
6/22
Xavier KRESS - 08/07/2013
7. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• Les hackers et les kits d’attaque
o Trouver et exploiter une faille de
sécurité est un jeu d’enfant
o Cela ne nécessite aucune
compétence particulière
o Une documentation abondante
o Des logiciels de détection (scanner)
et d’intrusion disponibles
gratuitement.
7/22
Xavier KRESS - 08/07/2013
8. Les principales failles de sécurité des applications web actuelles
- L’importance de la sécurité applicative
• L’OWASP et les kits de défense
o Une communauté libre et ouverte travaillant sur la sécurité des applications Web
o De nombreux projets et documents destinés à aider les développeurs à sécuriser leurs applications
o
o
o
o
o
o
WebGoat
WebScarab
Zed Attack Proxy
Testing Guide
Code Review Guide
Top Ten
Application non sécurisée permettant de découvrir la sécurité par la pratique
Permet d’analyser et modifier les flux HTTP envoyés et reçus par les applications
Logiciel de test d’intrusion permettant de détecter des failles applicatives
Guide pour les tests applicatifs
Guide pour la revue de code
Classement (par niveau de risque) des principales failles applicatives
8/22
Xavier KRESS - 08/07/2013
9. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Les injections
Violation de gestion d’authentification et de session
Cross-Site Scripting (XSS)
Référence directe non sécurisée à un objet
Mauvaise configuration de sécurité
Exposition de données sensibles
Absence de contrôle d’accès aux fonctions
Falsification de requête intersite (CSRF)
Utilisation de composants dont la vulnérabilité est connue
Redirections et renvois non validés
9/22
Xavier KRESS - 08/07/2013
10. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
1. Les injections
Injection de commande non prévue par le système (SQL, LDAP, XPATH …) dans les entrées
de l’application (formulaires et variables d’URL).
Objectifs :
- lecture, suppression, altération de données.
- accès au système sans authentification.
Parades :
- Vérification des données saisies (listes noires,
liste blanche, expressions régulières…).
10/22
Xavier KRESS - 08/07/2013
11. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
2. Violation de gestion d’authentification et de session
Regroupe les vulnérabilités permettant à un attaquant de s’approprier l’identité d’un
utilisateur.
Violation de gestion d’authentification
Vol de session
Objectifs :
- Accéder à des fonctionnalités réservées à
certaines personnes.
- Accéder à des données confidentielles.
Parades :
- Exiger des mots de passe forts.
- Utiliser un système de captcha.
-------------------- Utiliser les cookies pour gérer les sessions.
- Définir une durée de session maximale.
11/22
Xavier KRESS - 08/07/2013
12. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
3. Cross-Site Scripting (XSS)
Attaque par injection, consistant à insérer du code au sein d’une application réputée fiable,
pour qu’il s’exécute sur le poste client.
Objectifs :
- Défiguration / blocage de site.
- Redirection d’utilisateurs vers un autre site.
- Vol de session.
Parades :
- Vérifier les données en entrée.
- Retraiter les données issues de la base de
données avant de les afficher.
12/22
Xavier KRESS - 08/07/2013
13. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
4. Référence directe non sécurisée à un objet
Faille permettant à un attaquant d’accéder directement à des objets (fichiers, répertoires,
enregistrements de base de données) sans autorisation.
Objectifs :
- Accéder à des informations confidentielles.
- Prendre le contrôle d’un serveur.
Parades :
- Vérifier les accès à chaque ressources.
- Remplacer par une valeur temporaire
aléatoire (ESAPI) les références directes aux
objets (ID, noms de fichiers…).
13/22
Xavier KRESS - 08/07/2013
14. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
5. Mauvaise configuration de sécurité
Cette faille regroupe toutes les vulnérabilités liées à des problèmes de configuration, sur
tous les éléments de la couche applicative (serveurs, langage, framework, composants…).
Attaque par manipulation d’URL
Objectifs :
- Accéder à des informations confidentielles.
- Prendre le contrôle d’un serveur.
Parades :
- Ne pas attribuer aux composants plus de
droits que nécessaire.
- Etudier rigoureusement la configuration.
14/22
Xavier KRESS - 08/07/2013
15. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
6. Exposition de données sensibles
Cette faille regroupe toutes les vulnérabilités liées à la protection des données sensibles.
Technique du grain de sel
Objectifs :
- Accéder à des données confidentielles.
- Usurpation d’identité.
Parades :
- Utiliser des algorithmes de chiffrement forts.
- Ne pas stocker d’informations inutiles.
- Utiliser le protocole TLS sur toute la chaine.
- Les clés de décryptage doivent être stockées
séparément des données.
15/22
Xavier KRESS - 08/07/2013
16. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
7. Absence de contrôle d’accès aux fonctions
Cette faille permet à un attaquant d’accéder à des pages ou fonctions d’une application
Web sans y avoir droit.
Objectifs :
- Exécuter des fonctionnalités sans en avoir les
droits.
- Accéder à des données confidentielles.
Parades :
- Vérifier les droits d’accès sur chaque page de
l’interface et avant d’exécuter chaque
fonctions (logique métier).
- Par défaut, refuser les accès.
16/22
Xavier KRESS - 08/07/2013
17. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
8. Falsification de requête intersite (CSRF)
Cette faille consiste à exploiter la confiance qu’une application a envers ses utilisateurs en
les forçant à exécuter des requêtes sur l’application sans qu’ils en soient conscients.
Attaque CSRF par envoi de mail
Objectifs :
- Exécuter des fonctionnalités sans en avoir les
droits.
Parades :
- Demander aux utilisateurs des confirmations
avant d’exécuter des actions sensibles.
- Vérifier le referer de la page.
- Utiliser la technique du jeton de validité.
<img src =
"http://bank.com/transfer.do?acct=
KRESS&amount=1000" width="1"
height="1" border="0">
17/22
Xavier KRESS - 08/07/2013
18. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
9. Utilisation de composants dont la vulnérabilité est connue
Cette faille concerne tous les composants utilisés pour le fonctionnement d’une application.
Ils peuvent présenter des vulnérabilités et doivent faire l’objet d’une attention particulière.
Objectifs :
- Accéder à des données confidentielles.
- Prendre le contrôle d’un serveur.
Parades :
- Tenir à jour une liste des composants utilisés
ainsi que leur version.
- Mettre à jour ces composants dès qu’une
vulnérabilité est détectée et corrigée.
18/22
Xavier KRESS - 08/07/2013
19. Les principales failles de sécurité des applications web actuelles
- Les principales failles de sécurité applicatives
10. Redirections et renvois non validés
Cette faille concerne les redirections et renvois utilisés par les applications sans validation.
Objectifs :
- Rediriger des utilisateurs vers des sites de
phishing.
- Accéder sans autorisation à une partie de
l’application.
Parades :
- Vérifier les URL avant d’effectuer les
redirections.
- Utiliser des variables pour masquer les liens
de redirection.
- Vérifier les droits d’accès sur chaque page
d’un espace privé.
19/22
Xavier KRESS - 08/07/2013
20. Les principales failles de sécurité des applications web actuelles
- Comment sécuriser son parc applicatif
• Sensibiliser les développeurs
o Les informer sur les failles de sécurité et les impacts métier qu’elles peuvent avoir.
o Leur apprendre à mettre en place des parades pour chacune de ces failles.
o La robustesse d’une application dépend de son maillon le plus faible.
o Les inciter à utiliser les API et les check-lists (OWASP).
o Utiliser des référentiels (OWASP, SANS TOP 25, CWE, WASC ID…)
20/22
Xavier KRESS - 08/07/2013
21. Les principales failles de sécurité des applications web actuelles
- Comment sécuriser son parc applicatif
• Effectuer des tests d’intrusion et de la revue de code
o Utiliser les techniques des hackers pour mieux protéger ses applications.
o Les tests d’intrusion ne remplacent pas la revue de code (hashage des mots de passe,
vérification d’authentification sur toutes les pages…)
o Utiliser des guides (Testing guide, Code rewiew guide…)
21/22
Xavier KRESS - 08/07/2013
22. Les principales failles de sécurité des applications web actuelles
- Comment sécuriser son parc applicatif
• Intégrer la sécurité dans la gestion de projets
o La sécurité doit être appréhendée et traitée comme un processus continu.
o Elle doit être intégrée à la stratégie et aux objectifs de l’entreprise.
o Définition d’une politique de sécurité impliquant le management.
22/22
Xavier KRESS - 08/07/2013
23. Les principales failles de sécurité des applications web actuelles
Questions
Xavier KRESS - 08/07/2013